Par Maximilien Prué
Source : CoinGecko
Platypus devient le dernier protocole de la finance décentralisée (DeFi) à subir une attaque. Effectivement, ce dernier a été victime d'un hack à 8,5 millions de dollars suite à une manipulation via une méthode de flash loan. Heureusement, une partie importante des fonds a déjà pu être récupérée grâce à des efforts de coopération de différents acteurs.
Platypus se fait dérober 8,5 millions de dollars
Le protocole de finance décentralisée (DeFi) Platypus, hébergé sur Avalanche (AVAX), a subi un hack d'une valeur de 8,5 millions de dollars dans la journée du 16 février. L'information a d'abord été relevée par la firme de sécurité blockchain CertiK, avant d'être confirmée hier par Platypus sur Twitter.
Selon Platypus, le hack concerne exclusivement la pool de liquidités principale contenant de l'USP (le stablecoin du protocole), et les autres pools seraient en sécurité. Toutefois, à l'heure actuelle, les fonds des clients de la pool concernée ne sont, à priori, désormais couverts plus qu'à hauteur de 35 %.
L'USP a par conséquent perdu son ancrage au dollar américain pendant quelque temps, perdant ainsi 50 % de son cours de référence.
Cours de l'USP sur 72h
L'attaquant a eu recours à une méthode de flash loan pour parvenir à ses fins, une forme de prêt instantané permettant de trouver des opportunités d'arbitrage, malheureusement souvent utilisée pour attaquer des protocoles. C'est le procédé qui avait notamment été utilisé pour l'attaque sur le protocole Nereus Finance en septembre dernier.
Dans le cas présent, les fonds du hacker ont été retracés, et une partie ont déjà été blacklistés par Tether. Platypus a annoncé avoir également contacté Circle et Binance pour tenter de geler une partie des fonds restants.
L'identité du hacker révélée
L'enquêteur ZachXBT, connu pour ses investigations on-chain, a révélé l'identité présumée du hacker suite à l'étude de différents indices pointant vers le même individu. La personne identifiée dans le tweet a depuis supprimé son compte Twitter ainsi que son compte Instagram.
Par ailleurs, des négociations ont été engagées entre Platypus et le hacker afin que ce dernier puisse éventuellement retourner les fonds et en conserver une partie. Selon ZachXBT, un refus de la part du hacker pourrait se solder par une enquête de la justice à son égard.
Hi @retlqw since you deactivated your account after I messaged you.
— ZachXBT (@zachxbt) February 17, 2023
I've traced addresses back to your account from the @Platypusdefi exploit and I am in touch with their team and exchanges.
We’d like to negotiate returning of the funds before we engage with law enforcement. pic.twitter.com/oJdAc9IIkD
« J'ai retracé les adresses de votre compte à partir de l'exploit Platypus et je suis en contact avec leur équipe et certains exchanges. [...] J'ai examiné l'historique de vos transactions sur plusieurs blockchains, ce qui m'a conduit à votre adresse ENS retlqw.eth. Votre compte OpenSea est directement lié à votre Twitter et vous avez aimé un Tweet concernant l'exploit Platypus. »
Selon le dernier tweet en date de Platypus, le protocole serait parvenu à récupérer 2,4 millions d'USDC grâce à la coopération de la firme d'audit blockchain BlockSec, soit un peu plus d'un quart de la somme totale.
Ajouter un commentaire
Commentaires